Home » News » Cybersecurity » Top Malware für März: FakeUpdates dominiert global

Top Malware für März: FakeUpdates dominiert global

Ein aktueller Report enthüllt: FakeUpdates bleibt die unangefochtene Nummer eins unter den Cyberbedrohungen – in Deutschland ebenso wie weltweit. Die perfide Downloader-Malware dient Cyberkriminellen als Einfallstor und wird zunehmend in Kombination mit RansomHub eingesetzt, um Angriffe noch wirkungsvoller zu gestalten. In Deutschland steht weiterhin der Bildungssektor im Zentrum der Attacken.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Bild mit Monitor und Warn-Meldung "Virus Detection"
Foto: ©AdobeStock/Jixster

Check Point Software Technologies hat seinen Global Threat Index für März 2025 veröffentlicht – und der Bericht hat es in sich: Die Sicherheitsexperten deckten eine neue, ausgeklügelte Infiltrationskampagne der Ransomware-Gruppe RansomHub auf. Die Angreifer nutzen dabei gezielt die Malware FakeUpdates, die bereits seit mehreren Monaten als weltweit am häufigsten eingesetzte Schadsoftware gilt.

Im aktuellen Monat rückte FakeUpdates erneut durch eine besonders gefährliche Angriffskette in den Fokus. Die Malware kompromittierte in einer Serie von Attacken legitime Websites, setzte betrügerische Keitaro-TDS-Instanzen auf und brachte gefälschte Browser-Updates in Umlauf. Ziel: Nutzerinnen und Nutzer zur Installation des versteckten JavaScript-Loaders zu verleiten.

Dieser ermöglicht unter anderem die Exfiltration sensibler Daten, die Ausführung beliebiger Befehle sowie dauerhaften Zugriff für Folgeangriffe. Besonders perfide: Die Kampagne nutzt Plattformen wie Dropbox und TryCloudflare, um Erkennungssysteme zu umgehen und die Persistenz in den betroffenen Netzwerken zu sichern.

Parallel dazu sorgt eine weitere Großkampagne für Unruhe in der Cybersicherheitswelt: Sicherheitsforscher entdeckten eine massive Phishing-Welle mit dem Lumma Stealer, die über 1150 Unternehmen und 7000 Einzelpersonen in Nordamerika, Südeuropa und Asien ins Visier nahm. Die Angreifer verschickten fast 5000 manipulierte PDF-Dokumente, die auf Webflows Content-Delivery-Netzwerk gehostet waren. Gefälschte CAPTCHA-Bilder dienten als Trigger für die Ausführung von PowerShell-Skripten – mit dem Ziel, Schadsoftware nachzuladen.

Darüber hinaus wurden Verbindungen zu gefälschten Roblox-Spielen und einer manipulierten, raubkopierten Version des beliebten Windows-Tools „Total Commander“ festgestellt. Diese wurde über kompromittierte YouTube-Konten verbreitet, um ahnungslose Nutzer in die Falle zu locken.

Maya Horowitz, Vice President of Research bei Check Point Software, mahnt zur Vorsicht: „Cyber-Kriminelle passen ihre Taktiken ständig an. Sie setzen zunehmend auf legitime Dienste, um Malware zu verbreiten und sich einer Entdeckung zu entziehen. Unternehmen müssen ihre Abwehrstrategien kontinuierlich anpassen und auf präventive Maßnahmen setzen, um diesen wachsenden Bedrohungen effektiv zu begegnen.“

Top-Malware in Deutschland – März 2025

Die Rangliste zeigt die am häufigsten verbreiteten Schadprogramme in Deutschland. Die Pfeile geben an, ob sich die Platzierung im Vergleich zum Vormonat verbessert (↑), verschlechtert (↓) oder nicht verändert (↔) hat.

  1. ↑ FakeUpdates (4,87 Prozent)
    FakeUpdates – auch bekannt als SocGholish – ist aktuell die meistverbreitete Malware in Deutschland und hat Androxgh0st von Platz eins verdrängt. Die Schadsoftware tarnt sich als Browser-Update und wird über infizierte Websites verbreitet. Nutzerinnen und Nutzer werden dazu verleitet, das angebliche Update herunterzuladen – und installieren so ungewollt die Malware. FakeUpdates gilt als Türöffner für weitere Schadsoftware und wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht.
  2. ↓ Androxgh0st (2,25 Prozent)
    Androxgh0st richtet sich gezielt gegen Anwendungen, die das Laravel PHP-Framework verwenden. Die Malware scannt das Internet nach schlecht gesicherten Umgebungen, in denen sensible Konfigurationsdateien (etwa .env-Dateien) öffentlich zugänglich sind. Diese enthalten oft Zugangsdaten zu Cloud-Diensten wie Amazon Web Services, Twilio oder Office 365. Einmal eingedrungen, kann die Malware unter anderem weitere Schadsoftware nachladen oder die betroffenen Systeme zum Krypto-Mining missbrauchen.
  3. ↔ AsyncRat (1,48 Prozent)
    AsyncRat ist ein sogenannter Remote Access Trojaner – ein Schadprogramm, das es Angreifern ermöglicht, aus der Ferne die Kontrolle über ein infiziertes Windows-System zu übernehmen. Die Malware kann sensible Daten ausspähen, Prozesse manipulieren, Screenshots aufnehmen und sich selbst aktualisieren. Verbreitet wird sie meist über Phishing-Mails und wird oft für Datendiebstahl oder gezielte Angriffe auf Unternehmen genutzt.

Im März blieb der Bildungssektor in Deutschland wie im Vormonat das Hauptziel von Cyberangriffen. Neu auf Platz zwei ist die Telekommunikationsbranche, die an Bedeutung als Angriffsziel gewonnen hat. Unverändert auf dem dritten Rang liegt der Sektor Biotechnologie und Pharmazie.

Top Mobile Malware

Im März blieb Anubis die am weitesten verbreitete mobile Schadsoftware in Deutschland. Der leistungsstarke Banking-Trojaner für Android-Geräte kombiniert Funktionen wie das Abfangen von Einmal-Passwörtern, Keylogging, Audioaufzeichnung und sogar Ransomware-Mechanismen. Necro behauptete ebenfalls seine Position und fiel durch seine Fähigkeit auf, über manipulierte Apps schädliche Module nachzuladen und infizierte Geräte in ein Proxy-Botnetz einzubinden. Auf dem dritten Platz liegt weiterhin AhMyth, ein Fernzugriffstrojaner, der sich als harmlose App tarnt und umfassende Überwachungs- sowie Datendiebstahlfunktionen bietet. Alle drei Malware-Familien zeichnen sich durch ihre Vielseitigkeit und hohe Tarnung aus – und zeigen, wie gezielt Angreifer mobile Geräte ins Visier nehmen.

Wichtigste Ransomware Gruppen

Im März war RansomHub die aktivste Ransomware-Gruppe und zeichnete für 12 Prozent aller bekannten Angriffe verantwortlich – basierend auf Veröffentlichungen sogenannter Ransomware Shame Sites. Die Gruppe gilt als Nachfolger der früheren Knight-Ransomware und setzt auf eine Ransomware-as-a-Service-Struktur. Sie zielt auf verschiedene Plattformen, darunter Windows, macOS, Linux und besonders VMware ESXi, und ist bekannt für ihre ausgeklügelten Verschlüsselungsmethoden.

Auf den nächsten Plätzen folgen Qilin und Akira mit jeweils 6 Prozent. Qilin – auch unter dem Namen Agenda bekannt – richtet sich bevorzugt gegen große Unternehmen im Gesundheits- und Bildungsbereich und agiert meist über Phishing-Kampagnen. Akira, seit Anfang 2023 aktiv, greift sowohl Windows- als auch Linux-Systeme an, nutzt bekannte Schwachstellen in VPN-Endpunkten und verschlüsselt Dateien mit einer charakteristischen .akira-Endung. Alle drei Gruppen zeigen, wie professionell und arbeitsteilig Ransomware-Kriminalität inzwischen organisiert ist.

Den vollständigen Global Threat Index für März 2025 und weitere Informationen gibt es hier.

Weitere Artikel zum Thema: 

Global Threat Index: März 2023 war der „Monat der Trojaner“

Ransomware-Analyse für Deutschland: Black Basta schießt sich auf deutsche Ziele ein

Mitarbeiter unter den Top 3 der häufigsten Angriffspunkte für Cyberangriffe

Andere interessante News

Reihe von Netzwerkservern mit leuchtenden LED-Lichtern.

Warum starke IT nicht automatisch für Sicherheit steht

Vier von fünf Beschäftigten vertrauen auf die Kompetenz ihrer IT-Abteilung – doch genau dieses Vertrauen kann trügen. Werden Investitionen in die IT-Sicherheit vernachlässigt, stei...

Cybersecurity
Gefährdete Netzwerke abstrakt dargestellt

Report: Netzwerk-Malware fast verdoppelt

Netzwerkbasierte Malware hat im Vergleich zum Vorquartal um 94 Prozent zugenommen. Aber: Auch Krypto-Miner, Zero-Day-Malware und Linux-basierte Bedrohungen legen laut neuem Interne...

Cybersecurity
Mann mit Lupe über Security-Symbol

Wie ein IT Security Assessment den Mittelstand schützen kann

Kleinere und mittlere Unternehmen geraten zunehmend ins Visier von Cyberangriffen – mit täglich bis zu 500.000 neuen Schadvarianten und 18 Zero-Day-Angriffen. Ein Cybersecurity Ass...

Cybersecurity